tirto.id - Terhitung sejak 20 Juni 2024 lalu, Pusat Data Nasional (PDN) yang dikelola Kementerian Komunikasi dan Informatika (Kominfo) mengalami gangguan karena serangan siberbrain chipper ransomware anyar bernama Lock Bit 3.0. Karena insiden itu, 282 instansi pemerintah lumpuh, dengan data-data penting seperti NIK (Nomor Induk Kependudukan) hingga data kesehatan terkunci dan tidak dapat diakses.
Badan Penyelenggaraan Jaminan Produk Halal (BPJPH) Kementerian Agama (Kemenag) adalah satu dari 282 instansi yang terdampak. Kepala BPJPH, Muhammad Aqil Irham mengungkapkan, akibat peretasan PDN, layanan aplikasi Sistem Informasi Halal atau SIHALAL sempat berhenti beroperasi pada 20-23 Juni 2024.
“Yang berdampak tidak dapat diaksesnya SIHALAL oleh para pengguna, baik itu pelaku usaha, maupun stakeholder layanan seperti LPH (Lembaga Pemeriksa Halal), LP3H (Lembaga Pendamping Proses Produk Halal), Komite Fatwa, MUI (Majelis Ulama Indonesia), LHLN (Lembaga Halal Luar Negeri), P3H (Pendamping Proses Produk Halal), dan pengguna lainnya,” kata Aqil, dalam keterangannya pada Tirto, Jumat (28/6/2024).
Sementara itu, penempatan aplikasi SIHALAL pada PDN merupakan wujud kepatuhan BPJPH terhadap regulasi terkait implementasi Sistem Pemerintahan Berbasis ELektronik, sesuai dengan Peraturan Presiden (Perpres) Nomor 132 Tahun 2022 tentang Arsitektur Sistem Pemerintahan Berbasis Elektronik (SPBE). Dus, penyelenggaraan teknologi informasi dan komunikasi diarahkan untuk pengintegrasian teknologi informasi dan komunikasi dengan melakukan pengintegrasian data dan informasi, aplikasi dan infrastruktur SPBE.
"Aplikasi SIHALAL mulai ditempatkan pada PDNS 2 sejak 1 Maret 2024, di mana sebelumnya ditempatkan pada PDNS 1 sejak Juni 2023." lanjut Aqil.
Setelah memulihkan pusat data cadangan dan setting server dengan menambahkan kapasitas memori dan CPU, SIHALAL baru bisa kembali beroperasi pada 24 Juni 2024.
Mandeknya aplikasi SIHALAL pun membuat banyak pelaku usaha tidak bisa memasukkan data pengajuan sertifikat halal ke laman ptsp.halal.go.id. Pun dengan pendamping halal yang juga tidak bisa melakukan verifikasi dan validasi pengajuan sertifikasi halal para pelaku usaha.
“Pengajuan sertifikasi halal skema self-declare atau regular melalui satu pintu di portal SIHALAL yang dikelola BPJPH Kementerian Agama, namun servernya ada di PDN. Akibat down server PDN, semua aktivitas sertifikasi mandeg,” ujar Direktur Eksekutif Lembaga Halal Syarikat Islam Indonesia, Yudhi Irsyadi, dalam keterangan yang diterima Tirto, dikutip Jumat (28/6/2024).
Selama ini SIHALAL memang sering mengalami down, namun tidak selama saat PDN mendapat serangan ransomware. Selain membuat aktivitas para pelaku usaha yang ingin mengajukan sertifikasi dan pendamping halal terhenti cukup lama, Yudhi juga khawatir kasus ini akan membuat ribuan data pribadi yang terdapat di SIHALAL bocor.
“Jika peretas bisa sampai mengakses server PDN, kebocoran data yang terjadi tidak hanya akan menimpa Direktorat Jenderal (Ditjen) Imigrasi, tapi juga institusi lainnya yang menggunakan PDN untuk menyimpan data masyarakat,” lanjut dia.
Sementara itu, selain SIHALAL, peretasan PDN juga membuat sistem layanan keimigrasian Ditjen Imigrasi Kementerian Hukum dan HAM (Kemenkumham) mengalami gangguan. Direktur Jenderal Imigrasi Kemenkumham Silmy Karim mengungkapkan, selama periode lumpuhnya layanan keimigrasian pihaknya harus merampungkan segala proses administrasi yang sebelumnya secara digital menjadi manual.
Akibatnya, tidak sedikit masyarakat yang mengeluhkan hal ini. Pun dengan keterlambatan penerbangan yang sempat terjadi tempo hari.
“Kalau ditanya hal yang kaitan dengan komplain masyarakat? Ya pasti, mereka kan masyarakat, harus mendapatkan layanan yang optimal,” kata Silmy, dalam Konferensi Pers Upaya Pemulihan Pelayanan Keimigrasian, Dampak Server PDN Kominfo Down, di Jakarta, Jumat (28/6/2024).
Meski begitu, sebagai lembaga publik pengguna PDN yang juga merupakan server milik negara, Ditjen Keimigrasian tidak menghitung kerugian dari kejadian ini. Tidak hanya itu, menurut Silmy, pada akhirnya pesawat yang penerbangannya tertunda terbang juga dan visa yang mengalami keterlambatan pun dapat diselesaikan.
“Tentu kan kita organisasi pemerintah tidak menghitung dalam hal kerugiannya. Tentu di sini kita hanya masalah waktu dan pressure karena masalah publik saja. Tidak dalam konteks finansial. Saya sampaikan, tidak ada kerugian yang kita hitung dan kita juga bukan organisasi yang komersial, kita layanan publik,” imbuhnya.
Kerugian Ekonomi
Dihubungi terpisah, Direktur Ekonomi Digital Center of Economic and Law Studies (Celios), Nailul Huda menilai, ada biaya yang harus dibayar oleh pemerintah dari kasus peretasan PDN. Biaya yang kemudian menimbulkan kerugian ekonomi, baik secara langsung maupun tidak langsung berasal dari anggaran pelayanan umum sebesar Rp721 triliun yang berasal dari Anggaran dan Pendapatan Belanja Negara (APBN) 2023.
“Klaim pemerintah, penggunaan teknologi digital bisa hemat 50 persen dari anggaran pelayanan umum. Artinya, ada manfaat yang hilang hampir Rp1 triliun per hari ketika sistem PDN kita lumpuh,” katanya, kepada Tirto, Jumat (28/6/2024).
Kemudian, kerugian juga berasal dari penggunaan data server di Amazon Web Service (AWS) oleh beberapa lembaga seperti Ditjen Imigrasi dan Ditjen Pajak Kementerian Keuangan sebagai sistem data imigrasi darurat. Huda bilang, sewa server AWS paling tidak dilakukan minimal satu bulan dengan biaya sebesar 15 ribu dolar Amerika Serikat (AS).
Selanjutnya, ada pula ongkos yang timbul dari pemilihan data yang diestimasikan dari biaya tebusan hacker mencapai Rp131 miliar. Belum lagi, ada surplus usaha yang hilang karena terhambatnya aktivitas ekonomi.
“Dari data tersebut, ada kerugian ekonomi sebesar Rp6,3 triliun. Ada surplus usaha yang hilang dari lumpuhnya PDN sebesar Rp2,7 triliun. Lumpuhnya PDN ini menghambat aktivitas ekonomi dan menjadikan lebih lambat. Iklim bisnis dan usaha bisa terdampak lesu,” rinci Huda.
Pada saat yang sama, negara pun kehilangan potensi penerimaan hingga Rp17 miliar dari layanan yang lumpuh dan potensi ekonomi yang hilang.
“Jika kita hubungkan dengan kerugian negara, maka ini bisa kita katakan sebagai kerugian negara dari hilangnya potensi penerimaan negara. Sebagai contoh, pelayanan paspor yang lumpuh. Ada potensi kehilangan pengurusan paspor ketika sistem lumpuh,” lanjutnya.
Sementara itu, dari hitungan Direktur Eksekutif ICT Institute, Heru Sutadi, kerugian negara yang timbul bisa dihitung dari waktu lumpuhnya (downtime) server per menit, yakni sebesar 5.600 dolar AS. Hitungan ini didasarkan pada studi Gartner 2014 tentang dampak ekonomi downtime per menit.
Artinya, jika PDN lumpuh dalam sehari, kerugian ekonomi mencapai 8,064 juta dolar AS atau sekitar Rp132,2 miliar per hari. Dus, kerugian ekonomi sampai Jumat (28/6/2024), diperkirakan mencapai Rp1,2 triliun.
“Angka ini akan terus bergerak sampai PDN dapat dipulihkan sepenuhnya. Kalau tidak dapat dipulihkan sepenuhnya, maka kerugiannya sudah sangat priceless (tidak terhitung). Karena Presiden Joko Widodo selalu mengatakan data is new oil, maka ini kita kehilangan ladang minyak yang sangat besar,” kata Heru.
Kerugian ini juga belum termasuk kerugian turunan dari macetnya antrean di imigrasi, layanan pemerintahan yang terkendala, dan paling utama adalah kepercayaan masyarakat. Apalagi, di era digital seperti sekarang, keamanan siber dan data pribadi akan terkorelasi dengan kepercayaan.
“Kita khawatir, bilamana data hanya dapat dipulihkan 20 persen saja, maka trust masyarakat pada pemerintah juga terkorelasi dengan angka itu. Sehingga, harus ada upaya maksimal agar semua layanan dipulihkan dan data diselamatkan,” lanjut Heru.
Sementara itu, dalam Konferensi Pers APBN Kita, Kamis (27/6/2024) kemarin, Menteri Keuangan Sri Mulyani mengungkapkan, anggaran belanja Kominfo hingga Mei 2024 mencapai Rp4,9 triliun. Dari total itu, Rp700 miliar dialokasikan untuk operasional PDN, kemudian untuk pembiayaan kapasitas satelit Rp700 miliar, serta Palapa Ring Rp1,1 triliun.
“Kominfo Rp4,9 triliun, sudah dibelanjakan ini mulai pemeliharaan dan operasional BTS 4G, dan data center nasional [Pusat Data Nasional] Rp700 miliar,” katanya.
Dampak Kebocoran Data Pribadi
Direktur Pengendalian Aplikasi Informatika Kementerian Komunikasi dan Informatika (Kominfo), Teguh Arifiyadi, usai acara Ngopi Bareng, di kantornya, Jumat (28/6/2024) mengungkapkan, pihaknya tidak bisa mengungkapkan soal potensi kerugian negara yang terjadi karena peretasan PDN. Pun dengan kompensasi yang seharusnya dibayarkan pemerintah kepada Kementerian/Lembaga serta masyarakat yang terdampak.
“Saya tidak bisa menjawab masalah ini,” kata dia.
Sementara itu, Teguh mengakui, sampai saat ini pihaknya belum mengetahui apakah ada data pribadi masyarakat yang terdampak ransomware atau tidak, karena investigasi masih terus dilakukan. Namun, jika terdeteksi terdampak, Ditjen Aptika Kominfo akan segera masuk untuk meneliti lebih jauh, ada berapa banyak data yang terdampak, bagaimana statusnya hingga saat temuan itu dilaporkan, hingga memastikan ada atau tidaknya data yang bocor.
“Meskipun laporan sementaranya kan stay, tapi dikunci. Bisa (dikunci), karena kalau narik data kan terlalu besar. Jadi butuh sumber daya untuk ngumpulin kan. Bisa stay terkunci atau bisa ketarik. Nah, yang bahaya kalau ketarik. Kalau ketarik berarti bisa dibocorkan. Kalo terkunci ya nggak bisa dibuka aja,” jelas Teguh.
Selain itu, jika ada data pribadi yang terdampak, pihaknya juga akan langsung melakukan investigasi untuk menentukan bahwa pelanggaran perlindungan data pribadi (PDP) muncul di area mana saja. Setelah itu, Kominfo baru bisa memberikan rekomendasi sanksi seperti apa yang akan dijatuhkan pelanggar.
Namun, Teguh mengakui, dalam Undang-Undang Perlindungan Data Pribadi (UU PDP) tidak mengatur soal sanksi jika pelanggaran dilakukan pemerintah. Sebaliknya, dalam UU yang akan berlaku Oktober 2024 itu mengatur secara tegas sanksi untuk sektor swasta.
Sanksi itu berupa denda maksimal 2 persen dari pendapatan tahunan perusahaan. Namun, denda dapat dikurangi apabila perusahaan pelanggar memenuhi variabel-variabel kepatuhan, seperti seberapa cepat perusahaan tersebut melaporkan kebocoran data hingga seberapa besar kebocoran data terjadi.
"Tapi di satu sisi, UU PDP belum mengatur tegas, bagaimana kalau pelanggaran dilakukan pemerintah. Itu perlu ada PP tersendiri. Jadi belum diatur. Sanksinya apa kalau pemerintah? Apakah kita akan kenakan denda? Apakah pemerintah kalau ada insiden, pejabatnya akan diganti? Apakah pelanggarannya dikurangi atau seterusnya? Itu belum ada. Terus terang belum ada," ujar Teguh.
Indonesia bukan satu-satunya negara yang tidak memiliki aturan sanksi bagi pemerintah jika melanggar ketentuan PDP. Bahkan, negara-negara di dunia mengatur lebih tegas dan ketat sektor swasta soal keamanan data pribadi.
"Negara-negara lain mengatur regulasi PDP memang mayoritas negara-negara tuh untuk penyelenggara privat, bukan pemerintah," ujar dia.
Meski begitu, dalam UU PDP telah diatur bahwa yang harus mematuhi regulasi keamanan data pribadi bukan hanya swasta, namun juga pemerintah. Apalagi, diakui Teguh, pemerintah memiliki porsi sangat besar dalam akses dan mengolah data masyarakat.
"Tapi itu bukan berarti tidak dipikirkan. Kemungkinan sedang disiapkan dalam satu rumusan peraturan pemerintah tersendiri. Tapi saat ini, peraturan pemerintah yang disiapkan lebih ketat ke penyelenggara privat," imbuhnya.
Teguh menyebut, saat ini ada dua opsi untuk mengatur sanksi bagi pemerintah saat terjadi pelanggaran. Pertama, bahasan soal sanksi dapat masuk ke aturan turunan yang saat ini sedang dirancang. Kedua, dapat dibuat aturan tersendiri yang membahas sanksi untuk pemerintah.
"Nah, opsinya apakah masuk dalam RPP (Rancangan Peraturan Pemerintah) PDP existing sanksi untuk pemerintah dan publik atau dalam satu RPP yang terpisah. Itu dalam tahap diskusi," ungkap Teguh.
Karena kasus ini, ada dua sanksi yang bisa dijatuhkan dan harus dijalankan Kominfo dan Badan Siber dan Sandi Negara (BSSN), yaitu sanksi administrasi dan dugaan tindak pidana terkait keamanan data pribadi.
“Selain itu juga mendesak pimpinan K/L terkait untuk bertanggung jawab terhadap kerugian ekonomi. Kemudian, alangkah lebih bijak jika pimpinan K/L terkait mundur dari jabatannya karena sudah lalai yang menyebabkan kerugian bagi ekonomi negara dan melanggar UU Perlindungan Data Pribadi,” tegas Huda.
Sementara itu, menurut Pakar IT Heru Sutadi, kerugian negara sebenarnya bisa dihindari kalau pemerintah memiliki pusat data cadangan. Dengan ini, layanan tetap dapat dipulihkan dan tidak perlu membayar tebusan kepada peretas.
Dengan telah terjadinya peretasan PDN, Heru menilai, harus ada perencanaan ulang dan audit terhadap PDN. Selain itu, pemerintah juga sudah seharusnya membentuk lembaga khusus yang bertugas memelototi PDN tanpa henti.
“Di perencanaan, misal harus memiliki data recovery center sebagai backup. Dan backup harus tersinkronisasi dengan PDN utama tanpa perlu Kementerian/Lembaga dan Pemda membackupnya. Kemudian, Windows Defender tidak cukup. Harus ada fitur keamanan lainnya,” tutup Heru.
Penulis: Qonita Azzahra
Editor: Maya Saputri